TR/Click.Small.HR - Trojan

это описание доступно в

Резюме

Подробное описание

Статистика

Имя:	TR/Click.Small.HR
Обнаружен:	23/08/2005
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	От низкого до среднего
Файл статистики:	Да
Размер файла:	20.480 байт.
Контрольная сумма MD5:	aab0b0d92b441763d45cff47c9224bcb
Версия VDF:	6.31.1.140

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: PWSteal.Lemir
   • Kaspersky: Trojan-Clicker.Win32.Small.hr
   • Panda: Trj/Agent.AIA
   • Bitdefender: Trojan.Clicker.Small.HR

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP

Последствия:
   • Отключение приложений безопасности
   • Изменение реестра

Файлы Создается собственная копия:
• %SYSDIR%\iexplore.exe

Выполненная копия программы удаляется.

Создается файл:

– %WINDIR%\deleteme.bat После полного завершения процесса создания он запускается на выполнение. Данный batch-файл используется для удаления файла.

Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft"="%SYSDIR%\iexplore.exe"

Удаляются значения следующих ключей реестра:

– HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • RavMon
   • KAVPersonal50
   • RavTimer
   • KvMonXP
   • iDuba Personal FireWall
   • KAVRun
   • KpopMon
   • Kulansyn
   • KavPFW
   • KvXP
   • ccApp
   • SSC_UserPrompt
   • NAV CfgWiz
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • VirusScan Online
   • VSOCheckTask
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • KavStart
   • Services
   • KWatch9x

– HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • iDuba Personal FireWall
   • KavPFW
   • KvXP

Добавляются следующие ключи реестра:

– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\MskService
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McShield
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
   • Start=dword:00000004

Завершение процесса Список завершаемых процессов:
   • CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
      KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
      KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
      KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
      KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
      RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
      TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe

Завершаются процессы со следующими характеристиками:
    • Название: Symantec AntiVirus     Имя класса: KV2004
    • Название: RavMon.exe     Имя класса: RavMonClass
    • Название: ZoneAlarm     Имя класса: ZAFrameWnd
    • Название: %Двухбайтовый символ%     Имя класса: Tapplication
    • Название: %Двухбайтовый символ%     Имя класса: TForm1
    • Название: %Случайно%     Имя класса: TfLockDownMain
    • Название: %Случайно%     Имя класса: KvXP_ExpertFrame
    • Название: %Случайно%     Имя класса: WHXMDI0

Список завершаемых служб:
   • ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
      KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
      navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
      Core LC; wscsvc

Данные файла Язык программирования:
Программа была написана на Delphi.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Краткое описание см. здесь.

Описание добавлено: Irina Boldea Tue, 23 Aug 2005 09:15 (GMT+1)
Описание обновлено: Irina Boldea Mon, 29 Aug 2005 08:34 (GMT+1)

» О вредоносном ПО
» О фишинге
» В список опасных вирусов

« назад